Git 계정 관리에 대해서 알아보면서 이미 한 번 SSH Public Key에 대해서 살펴보았었다.
-
http://whatwant.tistory.com/395
이번에는 예전에 살펴보지 못한 부분들에 대해서 알아보고자 한다.
1. Server : ssh daemon 설정
- 만약 Git Server에서 Public Key로 접속하는 것을 막아버리고 싶으면 어떻게 해야 힐까?
- [ /etc/ssh/sshd_config ] 파일을 살펴보면 된다.
PubkeyAuthentication yes
- 그 외에도 다양한 설정들을 살펴볼 수 있고, 손 볼 수 있다.
2. Client : RSA vs DSA
- SSH Public Key 파일을 생성할 때 보통 RSA 타입을 사용했다.
- [ ssh-keygen ] 명령어를 보면 DSA 타입에 대해서도 나온다.
- RSA는 무엇이고 DSA는 무엇일까?
※ 아래 내용은 위키피디아(http://ko.wikipedia.org/)의 내용을 많이 참고하고 있습니다.
① RSA
- 1977년 로널드 라이베스트, 아디 샤미르, 레오널드 애들먼의 연구에 의해 체계화 된 공개키 암호시스템이다.
- (Ron
Rivest), (Adi
Shamir), (Leonard
Adleman) 3명 연구원의 이름 앞글자로 RSA 이름이 지어졌다.
- 1983년에 발명자들이 소속되어 있던 MIT에 의해 미국에 특허로 등록되었고, 2000년 9월 21일에 그 특허가 만료되었다.
- RSA 암호체계의 안정성은 큰 숫자를 소인수분해하는 것이 어렵다는 것에 기반을 두고 있다.
② DSA (Digital Signature Algorithm)
- RSA와 마찬가지로 비대칭형 암호화 방식이다.
- ElGamal 알고리즘을 이용하여 NIST(미국립표준기술연구소)에서 개발한 전자 서명방식이다.
- 나중에 DSS(Digital Signature Standard)로 이름이 변경된다.
- 보통 웹인증서에서 사용하는 방식이다.
- 암호화 속도는 비슷하지만, 키 생성은 DSA가 빠르고 검증속도는 RSA가 빠르다.
- RSA는 원문을 개인키로 암호화 해야 서명이 가능하지만, DSA는 그렇지 않다.
- DSA는 전자서명 여부에 따라 예/아니오로 간단하게 사용한다.
- 개인적으로 궁금한 것은 DSA가 RSA 보다 더 좋은 것인지 확인하고 싶었다.
- 결론적으로는 뭐 그냥 그렇다. 그냥 RSA를 사용하게 하는 것이 무난하다는 판단이다.
3. SSH Public Key 활용하기
- A 라는 사용자가 [ssh-keygen -t rsa ] 명령으로 [ id_rsa / id_rsa.pub ] 파일을 생성했다고 해보자.
- 다른 PC에서 SSH Public Key를 이용해서 ssh 접속을 하고자 한다면 어떻게 할까?!
- Key 파일을 생성한 PC 에서 인증을 위해 사용할 Public Key를 등록해야 한다.
- [ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys ]
- cp가 아니고 뒤에 첨부하는 식으로 처리한 이유는, 여러개의 Public Key를 등록하는 경우도 있기 때문이다.
- 참고로 각 파일에 필요한 권한은 다음과 같다.
chmod 700 ~/.ssh
chmod 600 ~/.ssh/id_rsa
chmod 644 ~/.ssh/id_rsa.pub
chmod 644 ~/.ssh/authorized_keys
chmod 644 ~/.ssh/known_hosts
4. 두 대의 PC에서 개발
- 개발 PC 한 대에서 Key 파일을 하나 생성한 후 Git Server에 등록을 했다고 해보자.
- 만약 노트북을 한 대 받아서 그곳에서도 개발을 해야한다면 어떻게 해야할까?
- 가장 손 쉬운 방법은 노트북에서도 Key 파일을 하나 생성해서 추가로 Git Server에 등록을 하는 것이다.
- 그런데, 추가 등록하지 않고 기존에 생성한 Key 파일을 재활용할 수 있는 방법은 없을까?
① Copy
- [ ssh-keygen -t rsa ] 명령으로 Key 파일을 생성하면,
[ ~/.ssh/ ] 디렉토리 밑에
id_rsa, id_rsa.pub 파일이 생성된다.
- 유저에게 필요한 파일은 [ id_rsa ]이고, 서버에 등록을 할 것은 [ id_rsa.pub ] 파일이다.
- 그런데 이 유저가 다른 PC에서 서버에 접근을 하려고 하는 순간 고민이 생긴다.
- 전에 사용하던 PC에서는 편하게 Public Key로 인증을 했는데, 이 PC에서는 인증이 안되는 것이다.
- 사실 정말 간단히 모든 것이 해결된다.
- 기존 PC에서 생성한 [ id_rsa ] 파일을 [ ~/.ssh/ ] 디렉토리 밑으로 복사해 놓으면 끝이다.
- 그런데, 이 새로운 PC에 이미 생성해서 사용하고 있는 [ id_rsa ] 파일이 있으면 어떻게 해야할까?
② Multi Key
- Public Key 파일을 관리하기 위해서 별도 설정을 할 수 있다.
- [ ~/.ssh/config ] 파일에 원하는 내용을 넣으면 되는 것이다.
$ cd ~/.ssh/
$ ls -al
합계 20
drwx------ 2 user2 user2 4096 8월 6 21:22 .
drwxr-xr-x 3 user2 user2 4096 8월 5 01:51 ..
-rw------- 1 user2 user2 1675 8월 5 01:09 id_rsa
-rw-r--r-- 1 user2 user2 398 8월 5 01:09 id_rsa.pub
-rw-r--r-- 1 user2 user2 222 8월 6 21:22 known_hosts
$ scp chani@127.0.0.1:/home/chani/.ssh/id_rsa ./chani
chani@127.0.0.1's password:
id_rsa 100% 1679 1.6KB/s 00:00
$ ls -al
합계 24
drwx------ 2 user2 user2 4096 8월 6 21:23 .
drwxr-xr-x 3 user2 user2 4096 8월 5 01:51 ..
-rw------- 1 user2 user2 1679 8월 6 21:23 chani
-rw------- 1 user2 user2 1675 8월 5 01:09 id_rsa
-rw-r--r-- 1 user2 user2 398 8월 5 01:09 id_rsa.pub
-rw-r--r-- 1 user2 user2 222 8월 6 21:22 known_hosts
- 'user2'라는 계정에서 'chani'라는 계정으로 Public Key를 이용해서 SSH 접속을 하고 싶은 상황이라고 해보자.
- 그런데, 'user2'라는 계정에서 이미 Public Key를 생성했기 때문에 id_rsa 파일이 존재하고 있다.
- 'chani' 계정의 id_rsa 파일을 그대로 복사해올 수가 없어서 'chani'라는 이름으로 바꾸어서 복사를 한 상황이다.
- 이 상황에서 chani 계정으로 SSH 접속을 시도하면 Public Key를 인식하지 못하고 패스워드를 물어본다.
- 지금 필요한 것은 [
chani@127.0.0.1 ] 접속을 할 때에 id_rsa 파일이 아니라
chani 라는 이름으로 복사한 Key 파일을 사용하도록 알려주는 것이다.
- [ ~/.ssh/config ] 파일을 수정해보자. (없으면 생성하면 된다)
Host 127.0.0.1
Identityfile ~/.ssh/chani
- 위와 같이 작성한 후 [ ssh
chani@127.0.0.1 ] 실행하면 접속이 될 것이다.
- 조금 더 체계적으로 config 파일을 작성하면 다음과 같이 할 수도 있다.
Host localhost
User chani
Port 22
Hostname 127.0.0.1
Identityfile ~/.ssh/chani
- 조금 불편한 점은 위와 같이 설정한다고 해서 localhost와 127.0.0.1 둘 모두 사용할 수 있는 것은 아니다.
- 여기에서 중요한 점은 특정 서버에 접속할 때에 사용할 특정 Key 파일을 지정할 수 있다는 것이다.
이번에는 여기까지~